对于区块链中算法的学习

1.ECDSA椭圆曲线加密算法
椭圆曲线要形成一条光滑的曲线，要求x,y取值均为实数，即实数域上的椭圆曲线。但椭圆曲线加密算法，并非使用实数域，而是使用有限域。按数论定义，有限域GF(p)指给定某个质数p，由0、1、2……p-1共p个元素组成的整数集合中定义的加减乘除运算。

假设椭圆曲线为y² = x³ + x + 1，其在有限域GF(23)上时，写作：　　y² ≡ x³ + x + 1 (mod 23)

此时，椭圆曲线不再是一条光滑曲线，而是一些不连续的点，如下图所示。以点(1,7)为例，7² ≡ 1³ + 1 + 1 ≡ 3 (mod 23)。如此还有如下点：

(0,1) (0,22)　　(1,7) (1,16)　　(3,10) (3,13)　　(4,0)　　(5,4) (5,19)　　(6,4) (6,19)　　(7,11) (7,12)　　(9,7) (9,16)　　(11,3) (11,20)　　等等。

另外，如果P(x,y)为椭圆曲线上的点，则-P即(x,-y)也为椭圆曲线上的点。如点P(0,1)，-P=(0,-1)=(0,22)也为椭圆曲线上的点。

其中的y² ≡ x³ + x + 1 (mod 23)意味着要让y² mod 23 的值等于x³ + x + 1即可，那么我们已知了x的值，可以直接获得y的值，通过python可以简单的得到相应的内容

if __name__ == '__main__':
    modnumber = input()
    x = input()
    for num in range(0, 2323):
        if (int(x) ** 3 + int(x) + 1) % int(modnumber) == (num ** 2) % int(modnumber):
            print(num)

通过依次输入我们想要计算的x的值，就可以得到上面的那些点，不需要我们去计算，之后我们通过python进行绘图，得到一个点集图：

点集图

计算xG

相关公式如下：
有限域GF(p)上的椭圆曲线y² = x³ + ax + b，若P(Xp, Yp), Q(Xq, Yq)，且P≠-Q，则R(Xr,Yr) = P+Q 由如下规则确定：
Xr = (λ² - Xp - Xq) mod p　　Yr = (λ(Xp - Xr) - Yp) mod p　　其中λ = (Yq - Yp)/(Xq - Xp) mod p（若P≠Q）, λ = (3Xp² + a)/2Yp mod p（若P=Q）
因此，有限域GF(23)上的椭圆曲线y² ≡ x³ + x + 1 (mod 23)，假设以(0,1)为G点，计算2G、3G、4G…xG等等，方法如下：
计算2G：
λ = (3x0² + 1)/2x1 mod 23 = (1/2) mod 23 = 12　　Xr = (12² - 0 - 0) mod 23 = 6　　Yr = (12(0 - 6) - 1) mod 23 = 19　　即2G为点(6,19)
计算3G：
3G = G + 2G，即(0,1) + (6,19)　　λ = (19 - 1)/(6 - 0) mod 23 = 3　　Xr = (3² - 0 - 6) mod 23 = 3　　Yr = (3(0 - 3) - 1) mod 23 = 13　　即3G为点(3, 13)

通过上面的计算，我们可以得到相加的结果

椭圆曲线加解密算法原理

椭圆曲线加密算法原理如下：

设私钥、公钥分别为k、K，即K = kG，其中G为G点。

公钥加密：
选择随机数r，将消息M生成密文C，该密文是一个点对，即：C = {rG, M+rK}，其中K为公钥

私钥解密：
M + rK - k(rG) = M + r(kG) - k(rG) = M　　其中k、K分别为私钥、公钥。

椭圆曲线签名算法原理

私钥签名：
1、选择随机数r，计算点rG(x, y)。
2、根据随机数r、消息M的哈希h、私钥k，计算s = (h + kx)/r。
3、将消息M、和签名{rG, s}发给接收方。

公钥验证签名：
1、接收方收到消息M、以及签名{rG=(x,y), s}。
2、根据消息求哈希h。
3、使用发送方公钥K计算：hG/s + xK/s，并与rG比较，如相等即验签成功。

签名过程

假设我们要进行签名的字符串为“HelloWorld”，DSA签名的第一步就是要将要签名的信息得到一个消息摘要；摘要生成之后，应用签名算法对摘要进行签名；生成一个随机数，并利用这个数字计算出两个大数r和s，并使用r和s生成对消息摘要的签名

验证过程

我们需要将传过来的信息进行分离，也就是从签名中分离出r和s，然后利用公开的秘钥信息和s计算出r，如果值都是相对应的，那么验证成功

整体代码流程如下：

func main() {

    message := []byte("HelloWorld!")

    key, err := NewSigningKey()
    if err != nil {
        return
    }

    signature, err := Sign(message, key)

    fmt.Printf("签名后：%x", signature)
    if err != nil {
        return
    }

    if !Verify(message, signature, &key.PublicKey) {
        fmt.Println("验证失败！")
    }else{
        fmt.Println("验证成功！")
    }
}

主函数当中我们定义了三个函数，也就是我们要执行的三个步骤，首先是定义了一个NewSigningKey()函数，具体实现如下：

func NewSigningKey() (*ecdsa.PrivateKey, error) {
    key, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader) // 借助曲线和随机数生成
    return key, err
}

其中借助的是crypto/ecdsa的package，函数GenerateKey的参数有两个，一个是借助使用的椭圆曲线，在这里使用的是P256，另外一个参数是生成一个随机数，也就是我们前面所说的那个随机数的内容

接下来，我们要对其生成的内容进行签名Sign()函数，具体实现如下：

func Sign(data []byte, privkey *ecdsa.PrivateKey) ([]byte, error) {
    digest := sha256.Sum256(data)
    r, s, err := ecdsa.Sign(rand.Reader, privkey, digest[:])
    if err != nil {
        return nil, err
    }
    // 计算出两个大数r和s。将r和s拼在一起就构成了对消息摘要的签名。
    params := privkey.Curve.Params()
    curveOrderByteSize := params.P.BitLen() / 8
    rBytes, sBytes := r.Bytes(), s.Bytes()
    signature := make([]byte, curveOrderByteSize*2)   // 制造一个大的空间signature
    copy(signature[curveOrderByteSize - len(rBytes):], rBytes)  // 前半部分存放rbytes
    copy(signature[curveOrderByteSize*2 - len(sBytes):], sBytes) // 后半部分存放sbytes

    return signature, nil
}

当中借助随机数，以及两个大数r和s，r占据前半部分，s占据后半部分，最终生成一个完整的签名

最后，我们需要对其进行验证：

func Verify(data, signature []byte, pubkey *ecdsa.PublicKey) bool {
    digest := sha256.Sum256(data)

    curveOrderByteSize := pubkey.Curve.Params().P.BitLen() / 8

    r, s := new(big.Int), new(big.Int)
    r.SetBytes(signature[:curveOrderByteSize])
    s.SetBytes(signature[curveOrderByteSize:])
    // 从宏观上看，消息的接收方从签名中分离出r和s，然后利用公开的密钥信息和s计算出r。如果计算出的r和接收到的r值相同，则表示验证成功。否则，表示验证失败。
    return ecdsa.Verify(pubkey, digest[:], r, s)
}

这就是对解析出来的两个值进行验证，发现前后是一致的，那么就说明是成功的。

最终执行的结果如下：

程序结果

以上就是对于椭圆曲线加密算法的实现。